01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 사서함업그레이드로위장한계정탈취목적의악성메일주의 국내에

01 이스트시큐리티통계및분석 이스트시큐리티 보안동향보고서 No.102 2018.03

01 이스트시큐리티통계및분석 No.102 2018.03 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 01-06 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 07-13 사서함업그레이드로위장한계정탈취목적의악성메일주의 국내에유입된전신송금확인악성메일주의 03 악성코드분석보고 14-43 개요 악성코드상세분석 결론 04 해외보안동향 44-56 영미권 중국 일본

이스트시큐리티보안동향보고서 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 1

01 악성코드통계및분석 1. 악성코드동향 2 월에발생했던가장큰보안이슈는안드로이드스마트폰사용자를노리는가상화폐채굴공격이여러차례발견된 부분이었습니다. 스마트폰사용자를대상으로공격자들은멀버타이징방식을이용하여검색을하거나, 공격자가노린특정광고모듈이탑재된앱을통해특정악성사이트로리다이렉션시킵니다. 특정악성사이트로리다이렉션된사용자들은이사이트를통해가상화폐채굴에자기도모르게이용당하게됩니다. 스마트폰사용자들은사실자신의스마트폰의성능저하를실시간으로체감하기어렵고, 이채굴작업은사이트에사용자가머무르는동안모바일브라우저를통해서만잠시동안 ( 사용자가캡챠코드를입력하여봇이아님을증명하는시간내 ) 발생하기때문에인지하기도어렵습니다. 공격자들의가상화폐채굴공격은위케이스만이아닙니다. 2 월에마이닝스크립트가포함된 19 개의앱이구글플레이에업로드되어있는것이발견되기도했는데요. 이앱들역시사용자모르게 Coinhive 스크립트를로드하고마이닝을하는데사용자스마트폰의리소스를사용하기도합니다. 주로모네로채굴을위한공격이발견되고있긴하지만, 최근발견된마이닝스크립트가포함된앱에서는모네로화폐채굴외에도비트코인과라이트코인을마이닝하는시도도발견되었으므로사용자분들의주의가필요한상황입니다. 모바일가상화폐채굴공격과더불어랜섬웨어이슈도발생했습니다. 비트코인캐시를요구하는첫번째랜섬웨어인 Thanatos 가 2 월에발견되었으며이 Thanatos 는기존이더리움과비트코인을요구하는것외에도비트코인캐시를추가로요구하는랜섬웨어이지만, 버그가존재하여암호화된각파일마다사용하는키값이어디에도저장되지않아복호화비용을지불하더라도복호화가거의불가능한문제가존재하는랜섬웨어였습니다. 이외에도몇년전유행했던 SamSam 랜섬웨어가다시등장하기도하였는데요. 미국콜로라도교통부의시스템을대거감염시키는이슈가발생하였고이전에도병원이나시의회, 교육기관등의시스템을공격한바있습니다. 이 SamSam 도네트워크를통한전파기능을가지고있기때문에시스템보안패치에많은신경을써야피해를최소화하거나예방할수있습니다. 기존에주로 PC 에국한되었던가상화폐채굴공격이모바일에서도발생하고있으며, 이러한추세는상대적으로보안이 취약할가능성이높은모바일기기에서앞으로도꾸준하게발생될것으로예상됩니다. 때문에, 사용자여러분들에게 익숙한모바일보안수칙을다시한번상기하고보안습관을들이는자세가필요합니다. 2

01 악성코드통계및분석 2. 알약악성코드탐지통계 감염악성코드 TOP15 2018 년 2 월의감염악성코드 Top 15 리스트에서는지난 1 월에각각 1,2 위를차지했던 Trojan.HTML.Ramnit.A 와 Trojan.Agent.gen 이 2 월 Top 15 리스트에서도동일한순위를보였다. 지난 1 월에 5 위를차지했던 Misc.HackTool.AutoKMS 악성코드탐지건수가이번 2 월에 3 위로크게순위가증가했다. 전반적으로지난 1 월에비해 3 일이나적었지만이번 2 월악성코드감염건수는 8% 정도만줄어들었다. 순위 등락 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 - Trojan.Agent.gen Trojan 2,181,405 2 - Trojan.HTML.Ramnit.A Trojan 1,069,148 3 2 Misc.HackTool.AutoKMS Trojan 811,821 4 - Win32.Ramnit Trojan 746,861 5 3 Adware.GenericKD.12447732 Adware 553,480 6 3 Adware.SearchSuite Adware 451,888 7 New Hosts.media.opencandy.com Host 360,916 8 5 Misc.Keygen Trojan 329,208 9 6 Trojan.LNK.Gen Trojan 320,256 10 New Gen:Variant.Ursu.110512 Trojan 291,361 11 New Adware.GenericKD.5437532 Adware 282,943 12 - Win32.Neshta.A Trojan 265,573 13 1 Backdoor.Agent.Orcus Backdoor 239,471 14 New Worm.ACAD.Bursted.doc.B Worm 189,381 15 New JS:Trojan.JS.Agent.SAP Trojan 179,059 * 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 2018 년 2 월 01 일 ~ 2018 년 2 월 28 일 3

01 악성코드통계및분석 악성코드유형별비율 악성코드유형별비율에서트로이목마 (Trojan) 유형이가장많은 75% 를차지했으며애드웨어 (Adware) 유형이 16% 로 그뒤를이었다. 웜 2% 애드웨어 16% 호스트파일 4% 트로이목마 (Trojan) 백도어 3% 트로이목마 75% 스파이웨어 (Spyware) 애드웨어 (Adware) 취약점 (Exploit) 웜 (Worm) 기타 (Etc) 백도어 (Backdoor) 바이러스 (Virus) 하이재커 (Hijacker) 호스트파일 (Host) 카테고리별악성코드비율전월비교 2 월에는 1 월과비교하여트로이목마 (Trojan) 악성코드감염카테고리비율이 66% 에서 75% 로증가했다. 전반적인 비율은감소하였고, 광고창을띄우는악성코드관련 media.opencandy.com 탐지건수가새롭게확인되었다. 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 하이재커 (Hijacker) 웜 (Worm) 취약점 (Exploit) 바이러스 (Virus) 백도어 (Backdoor) 호스트파일 (Host) 기타 (Etc) 0% 0% 0% 0% 2% 0% 0% 4% 0% 0% 3% 9% 4% 0% 0% 0% 16% 21% 75% 66% 100% 100% 2 월 1 월 0% 20% 40% 60% 80% 100% 4

01 악성코드통계및분석 3. 허니팟 / 트래픽분석 2 월의상위 Top 10 포트 허니팟 / 정보수집용메일서버를통해유입된악성코드가사용하는포트정보및악성트래픽을집계한수치 5900 5% 81 4% 3389 6% 23 13% 1433 2% 25 5% 80 1% 3306 21% 8080 1% 22 42% 22 3306 23 3389 5900 25 81 1433 80 8080 최근 3 개월간상위 Top 5 포트월별추이 2017 년 12 월 2018 년 1 월 2018 년 2 월 22 23 25 3306 3389 5

01 악성코드통계및분석 악성트래픽유입추이 외부로부터유입되는악의적으로보이는트래픽의접속시도가감지된수치 13,039,948 12,011,679 12,951,301 10,091,035 8,722,537 6,571,540 2017 년 9 월 2017 년 10 월 2017 년 11 월 2017 년 12 월 2018 년 1 월 2018 년 2 월 단위 : 악의적트래픽접속시도감지건수 2017 년 9 월 ~ 2018 년 2 월 6

이스트시큐리티보안동향보고서 02 전문가보안기고 1. 사서함업그레이드로위장한계정탈취목적의악성메일주의 2. 국내에유입된전신송금확인악성메일주의 7

02 전문가보안기고 1. 사서함업그레이드로위장한계정탈취 목적의악성메일주의 국내에지속적으로사서함업그레이드로위장한피싱메일이국내에유포되고있어주의를당부드립니다. 이번에발견된피싱메일은사서함할당량초과로인하여, 사서함을업그레이드해야한다는내용으로링크클릭을 유도합니다. [ 그림 1] 사서함업그레이드를유도하는악성메일 8

02 전문가보안기고 메일본문의 ' 업그레이드하려면여기를클릭하십시오 ' 를클릭하게될경우계정비밀번호입력을유도하는사이트로 연결합니다. [ 그림 2] 비밀번호입력을유도하는사이트 만일이용자가비밀번호를입력하고, ' 지금업그레이드 ' 버튼을누를경우페이지에서 ' 기다려주십시오 ' 등의문구가 보여집니다. 하지만이는이용자를안심시키기위한것으로보여지며, 실제로는입력폼에기입한비밀번호가공격자 서버로전송됩니다. 9

02 전문가보안기고 [ 그림 3] 이용자를안심시키기위한문구표시 [ 그림 4] 사용자정보가공격자서버로전송되는화면 따라서출처가불분명한메일에존재하는첨부파일혹은링크에대해각별히주의해주시기바랍니다 10

02 전문가보안기고 2. 국내에유입된전신송금확인악성메일 주의 최근한국어로번역된것으로보이는전신송금확인메일이국내에유입된정황이확인되어주의를당부드립니다. 이번에발견된악성메일은전신송금을확인하라는내용으로첨부된파일의실행을유도합니다. [ 그림 1] 악성메일본문 11

02 전문가보안기고 악성메일에첨부된파일 ' 주문.rar' 에는 'purchase order.exe' 실행파일이있습니다. [ 그림 2] 악성메일에첨부된 ' 주문.rar 파일 'purchase order.exe' 파일은 %APPDATA% 경로에 'tmp.exe' 파일을드롭및실행합니다. [ 그림 3] tmp.exe 파일드롭및실행코드 12

02 전문가보안기고 드롭되어실행되는 'tmp.exe' 파일은프로세스인젝션이후, 정보탈취기능을수행합니다. 만일이용자가무심결에첨부파일을실행하였을경우악성코드에감염되어금전등의피해를볼수있기에주의가 필요합니다. 따라서출처가불분명한메일에있는첨부파일혹은링크에대해접근을삼가하시기바랍니다. 현재알약에서해당악성코드들을 Trojan.Agent.FormBook, Trojan.Agent.797832em 으로진단하고있습니다. 13

이스트시큐리티보안동향보고서 03 악성코드분석보고 개요 악성코드상세분석 결론 14

03 악성코드분석보고 [Trojan.Ransom.Saturn] 악성코드분석보고서 1. 개요 최근까지사용자의중요파일을암호화한뒤복호화를대가로비트코인을요구하는랜섬웨어가꾸준하게발견되고 있는가운데 Saturn 으로불리는새로운랜섬웨어가발견되었다. 이번에발견된 Saturn 랜섬웨어는파일을암호화한뒤.saturn 확장자를추가하고, Cerber 랜섬웨어와마찬가지로스크립트를이용해음성으로감염사실을알리는것이특징이다. 또한, 한글이포함된경로에대해서는암호화를진행하지않는다. 암호화대상확장자는총 162 개로이중에는비트코인지갑.wallet 를포함한금융정보와관련된확장자가포함되어있다. 본보고서에서는 Saturn 랜섬웨어를상세분석하고자한다. 15

03 악성코드분석보고 2. 악성코드상세분석 1) 프로세스실행유무를위한시스템환경확인 가. 안티디버깅 Saturn 랜섬웨어는현재프로세스가디버깅중인지확인하여실행유무를결정한다. IsDebuggerPresent 함수와 CheckRemoteDebuggerPresent 함수를이용하여현재프로세스또는이외의프로세스가디버깅되는지확인한다. 만약디버깅중이라고확인되면파일암호화및추가악성행위를하지않고프로세스를종료한다. [ 그림 1] 안티디버깅확인 나. VirtualBox 탐지 레지스트리키값중에서다음과같은값들이확인되면 VirtualBox 를사용중인것으로인식하고프로세스를종료한다. 레지스트리키값 HKLM\\SOFTWARE\\Oracle\\VirtualBox Guest Additions HKLM\\SYSTEM\\ControlSet001\\Services\\VBoxGuest HKLM\\SYSTEM\\ControlSet001\\Services\\VBoxMouse HKLM\\SYSTEM\\ControlSet001\\Services\\VBoxSF HKLM\\SYSTEM\\ControlSet001\\Services\\VBoxVideo [ 표 1] VirtualBox 탐지레지스트리키값 16

03 악성코드분석보고 2) 안티포렌직 프로세스실행조건을만족하면 Saturn 랜섬웨어는암호화된파일의복원을막기위해시스템에내장된볼륨섀도우 복사본을삭제하고, 자동복구기능을비활성화한다. 서버시스템일경우백업카탈로그도삭제한다. [ 그림 2] 안티포렌직명령어 3) 암호화대상파일검색암호화대상파일검색은모든논리드라이브를대상으로이뤄진다. 다음과같은문자열이확인되면암호화대상에서제외시킨다. 이는시스템오류로인해암호화가비정상적으로종료되는경우를방지하기위함이다. 또한, 한글이포함된경로에대해서도암호화가진행되지않는다. 추후비트코인결제에사용되는 Tor Browser 와관련된경로도제외된다. 암호화제외경로 \\Program Files Windows\\ :\\ProgramData\\ AppData\\Local\\ AppData\\LocalLow\\ AppData\\Roaming\\Microsoft\\ $Recycle.Bin\\ Application Data\\ \\Tor Browser\\ [ 표 2] 암호화제외경로 17

03 악성코드분석보고 다음과같은확장자를가진파일을대상으로암호화를진행한다. 확장자중에는비트코인및금융정보와관련된 파일들도포함되어있다..txt.psd.dwg.pptx.pptm.ppt.pps.602.csv.docm.docp.msg.pages.wpd.wps.text.dif.odg.123.xls.xlr.doc.in dd.xlsx.xlsm.docx.rtf.xml.dot.pdf.cdr.cd.1cd.sqlite.wav.mp3.wma.ogg.aif.iff.m3u.m4a.mid.pma.obj.ma x.3dm.3ds.dbf.accdb.db.dbf.sql.pdb.mdb.wsf.apk.com.torrent.old.bank.raf.raw.moneywell.blend.design.dxb.cad.kfx.proto.pb.pyw.fsproj.mfa.k25.gcw.tax2017.aep.swf.mswmm.flp.off.dot.odm.jou.rpb.abk.ph p5.ocx.dcr.bik.back.exf.sav.incpas.stx.bk.jpg.jpeg.tiff.tif.png.bmp.svg.mdi.mp4.mov.gif.avi.wmv.sfk.zip.rar.7z.tar.backup.bak.ms11.ms11 (Security copy).md.veg.pproj.prproj.ps1.htm.rss.json.php.c.h.cpp.asm.py.cs.bat.cmd.vbs.class.vb.java.jar.asp.js.lib.pas.tiff.tif.cgm.nef.crt.csr.p12.pem.vmx.vmdk.vdi.qcow2.v box.wallet.dat.cfg.config [ 표 3] 암호화대상확장자 4) 파일암호화 암호화대상파일의데이터는 AES 128 알고리즘으로암호화되고, 이때사용된 AES 키는 RSA 알고리즘을이용해 암호화된다. RSA 공개키는내부코드에포함되어있다. [ 그림 3] RSA 공개키 파일이암호화되는과정은다음과같다. 1 암호화대상이될원본파일의복사본을생성한다. 복사본파일은.JBet 확장자가추가된다. ex) PalinFile.txt.JBet 2 AES 알고리즘으로. JBet 파일의데이터를암호화한다. 3 MoveFileExA 함수를이용해암호화된.JBet 파일을기존원본파일명으로다시변경한다. ex)plainfile.txt (MoveFileExA 의 Flag 설정값때문에기존원본파일을덮어씌게된다.) 4 원본파일명으로변경된암호화파일에.saturn 확장자를추가한다. ex) PlainFile.txt.saturn 18

03 악성코드분석보고 다음은원본파일의복사본 (.JBet 확장자가추가된 ) 을생성하고, 데이터를암호화시키는코드의일부이다. [ 그림 4] 원본파일복사본생성및데이터암호화코드 암호화가진행된파일은기존확장자에.saturn 확장자를추가한다. [ 그림 5] 암호화된파일.saturn 확장자추가 19

03 악성코드분석보고 암호화된파일은다음과같은파일구조를가진다. 암호화조건에따라 16 바이트블록단위를맞추기위해쓰레기 PADDIN G 값을추가하고, 80byte 의암호화된 AES 키값을추가한다. [ 그림 6] 암호화된파일구조 암호화가끝난후에는정상적인파일로서의기능을상실한다. 암호화전 암호화후 [ 그림 7] 암호화완료화면 20

03 악성코드분석보고 5) 랜섬노트생성암호화가끝난폴더내에는랜섬노트와키파일이생성된다. 바탕화면에는랜섬노트와더불어 vbs 스크립트파일도함께생성된다. 악성코드제작자는랜섬노트를통해암호화된파일을복구할수있는방법에대해안내하며비트코인결제를유도한다. 생성되는파일은다음과같다. 생성파일 #DECRYPT_MY_FILES#.html #DECRYPT_MY_FILES#.txt #DECRYPT_MY_FILES#.vbs #DECRYPT_MY_FILESBMP #KEY-[ID-32 자리 ].KEY [ 표 4] 암호화후생성되는파일 ] #DECRYPT_MY_FILES#.vbs 스크립트파일은사용자에게음성으로랜섬웨어감염사실을알린다. 총 4 번반복된다. [ 그림 8] 음성안내스크립트파일.txt 와. html 로생성된랜섬노트도마찬가지로사용자가랜섬웨어에감염된사실을알린다. 그리고비트코인결제를 위한토르브라우저설치를유도한다. 21

03 악성코드분석보고 [ 그림 9] 랜섬노트화면 토르브라우저설치후랜섬노트에안내된주소로접속하면 KEY 파일을업로드할수있는화면이나온다. 악성코드 제작자는해당 KEY 파일과 captcha 기능을통해사용자본인을식별한다. [ 그림 10] 토르브라우저를이용한사용자로그인화면 결과적으로, 악성코드제작자는복호화에필요한 Saturn Decryptor 소프트웨어를구매하도록요구한다. 구매 비용은감염일로부터 7 일이내에는 300$(0.02853903 BTC) 이고, 7 일이지나면 2 배인 600$(0.05707806 BTC) 를 지불해야한다고안내한다. 22

03 악성코드분석보고 [ 그림 11] 비트코인요구화면 6) 자동실행등록 C:\Users\ 사용자계정 \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 경로에바로가기 (.lnk) 파일을생성하여시스템재시작이후에도악성코드가실행될수있도록자동실행등록한다. [ 그림 12] 자동실행등록화면 23

03 악성코드분석보고 3. 결론 이번 Saturn 랜섬웨어의유포과정은명확하지않으나신뢰할수있는사람을사칭한사용자로부터메신저, 이메일을 통해전달받았을가능성이높다. Saturn 랜섬웨어는기존랜섬웨어와마찬가지로공격자의금전적인이득을목적으로한다. 복호화를위한소프트웨어구매비용을일주일이후에는 2 배이상올리면서사용자로하여금좀더저렴한가격일때구입하도록유도하고있다. 그러나정작복호화비용을지불한다고해서복호화소프트웨어를제공한다는보장이없다. 100% 복원을기대하기어렵기때문에비용을지불하는것은권장하지않는다. 따라서, 랜섬웨어에감염되지않기위해서는예방이중요하다. 출처가불명확한이메일이나 URL 은실행하지않아야 한다. 또한 OS 와애플리케이션을항상최신업데이트버전으로유지해야하고, 중요자료는외부매체에저장하는 습관을들여야한다. 현재알약에서는해당랜섬웨어를 Trojan.Ransom.Saturn 으로진단하고있다. 24

03 악성코드분석보고 [Trojan.Android.CryptoMiner] 악성코드분석보고서 1. 개요 지난 2016 년 10 월 21 일보안이취약한 IOT 기기들이미라이악성코드에감염되어 DDoS 공격에활용되었다. 이미라이코드의소스가공개되었고, 2018 년 1 월 31 일부터이를활용한안드로이드악성코드가등장하였다. 미라이악성코드와마찬가지로웜형태로스스로전파되며안드로이드 OS 의 ADB (Android Debug Bridge) 인터페이스를이용한다. 감염된기기들은모네로채굴에이용된다. 본분석보고서에서는 ADB.miner 를상세분석하고자한다. 25

03 악성코드분석보고 2. 악성코드상세분석 1) 최초파일실행 최초파일인 sss 파일을실행하면암호화된 bot.dat 을복호화하고, 복호화된 bot.dat 은 nohup, xmrig32/64, droidbot 등을생성하고, droidbot 은추가로 invoke.sh, debuggerd 등을생성한다. [ 그림 1] 복호화된파일 2) bot.dat 복호화 Bot.dat 가복호화되면 6 개의파일이생성되며모네로채굴관련파일, 웜파일, 지속적인악성행위를위한관련파일 등이있다. 26

03 악성코드분석보고 [ 그림 2] 복호화되는파일목록 3) 악성행위의시작 쉘스크립트를백그라운드에서지속적으로실행하기위한 nohup 과웜파일인 droidbot 을실행한다. [ 그림 3] nohup 및 droidbot 실행 27

03 악성코드분석보고 4) droidbot 4 개의파일을생성하며감염된기기를명령어로조작하기쉽도록해주는파일들이다. [ 그림 4] 4 개의파일생성 5) 미라이코드활용 공개된미라이코드의 SYN Scan 부분을활용한다. 28

03 악성코드분석보고 [ 그림 5] 무작위 IP 생성 29

03 악성코드분석보고 해당악성코드에서는사용되지않았지만미라이코드의공장출하상태의 IOT 기기들의기본비밀번호와관련된 문자열들이동일하게존재한다. [ 그림 6] 미라이와동일하게존재하는문자열 5555 포트의무작위 IP 로 SYN 스캔을한다. 30

03 악성코드분석보고 [ 그림 7] 무작위 SYN 스캔 6) ADB 연결 adb connect 를통해서특정기기에연결이되었다면 get-state 를통하여해당기기의 adb 연결상태를확인한다. 31

03 악성코드분석보고 [ 그림 8] ADB 연결상태확인 연결된기기의 /data/local/tmp 의모든내용들을삭제한다. 이폴더는악성행위를하기위한기본폴더이다. 32

03 악성코드분석보고 [ 그림 9] 특정폴더의내용삭제 감염된기기를통하여다음활동에필요한 sss, nohup, bot.dat 파일들을전송한다. 33

03 악성코드분석보고 [ 그림 10] 다음활동을위한파일전송 7) ELF 모네로마이닝 CPU 종류를확인하여 32/64 에맞는파일을실행한다. [ 그림 11] CPU 확인 34

03 악성코드분석보고 모네로와관련된 XMRig 오픈소스를활용한다. [ 그림 12] 모네로오픈소스 config.json 에마이닝풀과관련된정보들이기록되어있다. Hashvault.pro 네트워크마이닝풀을이용한다. 35

03 악성코드분석보고 [ 그림 13] hashvault 마이닝풀 해당마이닝풀로실제마이닝이이루어짐을알수있다.. 36

03 악성코드분석보고 [ 그림 14] 마이닝풀과의네트워크통신 또다른마이닝풀인 minexmr.com 가기록되어있지만마이닝은되지않는다. 37

03 악성코드분석보고 [ 그림 15] 작동하지않는마이닝풀 8) APK 모네로마이닝 코인하이브 마이닝을위한 APK 를설치하고패키지명을이용하여해당앱을실행한다. 38

03 악성코드분석보고 [ 그림 16] APK 설치및실행명령어 APK 가자동으로설치및실행되며메인은아무것도나타나지않는다. Assets 폴더에저장되어있는 run.html 을 불러온다. 이는 코인하이브 의모네로마이닝코드가기록되어있으며 안드로이드의자바스크립트 를활용한다. 39

03 악성코드분석보고 [ 그림 17] 코인하이브 모네로마이닝코드 코인하이브 와통신하며실제마이닝이이루어진다. [ 그림 18] 코인하이브 마이닝 40

03 악성코드분석보고 9) 쉘스크립트 Install-recovery.sh 스크립트에는 droidbot 파일과 droidbot.apk 의패키지폴더를감시하여존재유무를확인한다. [ 그림 19] install-recovery.sh invoke.sh 는안드로이드기기의제어와관련된오픈소스를활용하여쉘스크립트를제작하였다. 해당스크립트는 주요폴더들을리마운트하고 system 폴더의특정파일들을공격자가원하는파일들로변경한다. 또한그와관련된 권한, 속성, 보안문맥등을추가로변경하여명령어를이용한기기제어를한층더쉽게만든다. 41

03 악성코드분석보고 [ 그림 20] invoke.sh 42

03 악성코드분석보고 3. 결론 이번 ADB.miner 의경우미라이코드를활용하고있지만아이디와비밀번호의사전식대입이아닌 ADB 인터페이스를활용하여웜형태로퍼지고있다. 실질적으로주변 IOT 기기의보안에대한인식은 0 에가깝기때문에일반사용자는감염되더라도알아차리기어렵다. 따라서, 사용자들은주변 IOT 기기에대하여조금더관심을가지고업데이트확인을주기적으로해야한다. 또한, 스마트폰사용자역시백신을항상최신으로유지하고주기적인검사를해야한다. 현재알약 M 에서는 ADB.miner 의앱버전을 "Trojan.Android.CryptoMiner" 탐지명으로진단하고있다. 43

이스트시큐리티보안동향보고서 04 해외보안동향 영미권 중국 일본 44

04 해외보안동향 1. 영미권 다수의 Memcached DDoS 공격자들, 랜섬머니로모네로요구해 Some Memcached DDoS Attackers Are Asking for a Ransom Demand in Monero Akamai 는일반적인공격과는다른 Memcached 서버들을통한 DDoS 공격을발견했다고발표한바있다. 랜덤데이터를포함한 UDP 패킷들로타겟을공격하는대신, 한공격그룹은이러한패킷들에짧은메시지를남긴다. 그들은피해자들에게 50 Monero($1.7 만불, 약 1800 만원 ) 을지불하라고요구힌다. 하지만돈을지불해도공격을멈출것이라는메시지는포함되어있지않다. 2015 년처음으로발견된 RDoS 공격이러한공격은 2015 년처음으로발견되었으며, 초기에는이러한전략을만들어낸 DD4BTC 그룹에서따와 DDoSfor-Bitcoin 라불렀다. 이그룹은다양한회사들에이메일을보내, 랜섬머니를지불하지않으면 DDoS 공격을하겠다고협박해왔다. RDoS(Ransom DDoS) 로알려진이들의전략은범죄자그룹들사이에서꽤나인기가높아지고있으며, 지난수년동안 많은 RDoS 공격이있었다. 대부분의경우공격자들은피해자가랜섬요구를무시하더라도 DDoS 공격을실행할수 있는능력이없었다. 하지만 Memcached 기반의 DDoS 공격협박은다르다. 이러한공격에악용될수있는안전하지않은 Memcached 서버가많이있기때문에, 공격자들은회사를다운시킬만한 DDoS 대포를가질수있게된다. 따라서피해자들은이협박이거짓이아니라는것을알고있기때문에, 이랜섬머니를지불할가능성이더욱높다. 하지만연구원들에따르면, Monero 로랜섬머니를지불하더라도아무런도움이되지않는다. 공격자들이여러개의 DDoS 공격에동일한 Monero 주소를사용하고있기때문이다. 따라서공격자들은그들의공격대상들중어디에서돈을지불했는지알수없게된다. 공격자들은융단폭격을가해 최대한많은타깃을공격하고, 아무나돈을내기를바라는것으로보인다. [ 출처 ] https://www.bleepingcomputer.com/news/security/some-memcached-ddos-attackers-are-asking-for-a-ransom-demand-in-monero/ 45

04 해외보안동향 트로이목마가포함된 BitTorrent 소프트웨어업데이트, PC 40 만대하이잭해 Trojanized BitTorrent Software Update Hijacked 400,000 PCs Last Week 지난주대규모멀웨어배포사건으로인해약 50 만대의컴퓨터들이단몇시간안에가상화폐마이닝멀웨어에감염 되었다. 이는인기있는 BitTorrent 클라이언트인 MediaGet 의백도어가포함된버전때문이었던것으로밝혀졌다. Dofoil(Smoke Loader 라고도알려짐 ) 이라명명된이멀웨어는감염된윈도우컴퓨터에피해자의 CPU 사이클을 이용해공격자의일렉트로니움디지털코인을채굴하는가상화폐마이닝프로그램을페이로드로써드롭하는것으로 나타났다. (Dofoil 에대한자세한내용은 3.9 보고서에포함되어있다.) 지난주 Windows Defender 연구원들이이공격에대한보고서를공개했을때는, 12 시간만에이러한대규모사태가일어난이유에대해서는언급하지않았다. 하지만조사가완료된금일, 마이크로소프트는공격자가 MediaGet BitTorrent 소프트웨어의업데이트메커니즘을공격해트로이목마가포함된프로그램버전 (mediaget.exe) 를사용자들의컴퓨터에 push 했다고밝혔다. 서명된 mediaget.exe 는 update.exe 프로그램을다운로드하고실행해새로운 mediaget.exe 파일을설치한다. 새로운 mediaget.exe 프로그램은오리지널버전과기능은동일하지만, 백도어기능이포함되어있다. 연구원들은 update.exe 를서명한 MediaGet 은서플라이체인공격 (supply chain attack) 을당한것같다고추측하고있다. 이는 2017 년 9 월사용자 230 만명이상을백도어버전으로감염시킨 CCleaner 핵사건과유사하다. 46

04 해외보안동향 이미지출처 : https://cloudblogs.microsoft.com/microsoftsecure/2018/03/13/poisoned-peer-to-peer-app-kicked-off-dofoil-coin-mineroutbreak/ 또한공격자들은감염된 update.exe 를또다른인증서로서명했으며, 정식 MediaGet 이요구하는검증과정을성공적으로통과했다. 드롭된 update.exe 는트로이목마가포함된 mediaget.exe, update.exe 가내장된 InnoSetup SFX 패키지다. 실행되면트로이목마를포함하고서명되지않은버전의 mediaget.exe 를드랍한다. 업데이트되면, 이악성 BitTorrent 소프트웨어는분산된 Namecoin 네트워크인프라에호스팅되는 C&C 서버 4 곳중 1 곳에랜덤으로연결해새로운명령을기다린다. 그리고 C&C 서버로부터 CoinMiner 컴포넌트를즉시다운로드하고피해자의컴퓨터를이용해공격자의가상화폐를채굴하기시작한다. 공격자는 C&C 서버를이용해감염된시스템이추가로멀웨어를다운로드및설치할수도있다. 47

04 해외보안동향 Indicators of compromise (IOCs) File name SHA-1 Description Signer Signing Detection name date mediaget.e 1038d32974969a1cc7a79c3fc7b7a5ab8d Offical GLOBAL 2:04 PM PUA:Win32/MediaGet xe 14fd3e mediaget.e MICROTRADI 10/27/20 xe NG PTE. LTD. 17 executable mediaget.e 4f31a397a0f2d8ba25fdfd76e0dfc6a0b30d Offical GLOBAL 4:24 PM PUA:Win32/MediaGet xe abd5 mediaget.e MICROTRADI 10/18/20 xe NG PTE. LTD. 17 executable update.exe 513a1624b47a4bca15f2f32457153482be Trojanized DEVELTEC Trojan:Win32/Modimer.A dda640 updater SERVICES SA executable DE CV mediaget.e 3e0ccd9fa0a5c40c2abb40ed6730556e3d3 Trojanized Not signed Trojan:Win32/Modimer.A xe 6af3c, mediaget.e fda5e9b9ce28f62475054516d0a9f5a7996 xe 29ba8 executable my.dat d84d6ec10694f76c56f6b7367ab56ea1f74 Dropped TrojanDownloader:Win32/Dof 3d284 malicious oil.ab executable wuauclt.ex 88eba5d205d85c39ced484a3aa7241302f Dropped Trojan:Win32/CoinMiner.D e d815e3 CoinMiner [ 출처 ] https://thehackernews.com/2018/03/windows-malware-hacking.html https://cloudblogs.microsoft.com/microsoftsecure/2018/03/13/poisoned-peer-to-peer-app-kicked-off-dofoil-coin-miner-outbreak/ 48

04 해외보안동향 페이스북, 정치데이터스캔들에휩싸여 ; 데이터유출은부인해 Facebook caught up in political data scandal; denies data breach 2016 년대통령선거가한창진행될때페이스북이미국의대통령인도널드트럼프와관련된정치적분석기관인 Cambridge Analytica 에사용자데이터를공유했다는진술에따라, 미국과유럽의의원들이페이스북에설명을요구했다. 이데이터를이용해사용자들을프로파일링해트럼프가대통령선거에서이길수있도록도왔다는것이다. 사용자데이터는 University of Cambridge 심리학강사인 Dr.Aleksandr Kogan 이제작한 thisisyourdailylife 라는어플리케이션을통해수집되었다. Kogan 은 Global Science Research(GSR) 이라는이름을사용해사용자들에게얼마간에돈을받고학술연구자료로사용되는설문에참여해달라고요청했다. 270,000 명이상의사용자들이이설문에참여하였으나, Kogan 은프로필을비공개로설정하지않은 5천만명이상의사용자데이터를수집했다. 페이스북에따르면, 이데이터스캔들은유출의결과가아니다. 페이스북은 데이터가유출되었다는주장은완벽한허위사실이다. Aleksandr Kogan 은그의앱에가입한사용자들의정보에대한접근을요청했으며, 참여한모든사람이동의했다. 사용자들은의도적으로그들의정보를제공했으며, 어떠한시스템도침입당하지않았으며패스워드및중요한정보도도난당하거나해킹당하지않았다. 라고밝혔다. 지난금요일, 페이스북은사용자들의컴플레인을받고지난 2015 년이상황을알게되었다고인정했다. 이후해당어플리케이션을네트워크에서제거하고 Kogan 에게데이터를삭제하기를요구했다. 내부고발자이자 Aleksandr Kogan 의공동연구자인 Christopher Wylie 은해당데이터가삭제되지않았다며 New York Times 와 the Guardian 에증거를제출했다. Wylie 는 페이스북은그일이일어나는것을알수있었다. Kogan 의앱들이엄청난양의데이터를가져왔기때문에페이스북의보안프로토콜이트리거링되었지만, Kogan 은이를학술적용도로사용하겠다고말했을것이다. 따라서페이스북은그저 알았다 고하며데이터를되찾으려는노력을하지않은것으로보인다. 라고말했다. [ 출처 ] https://hotforsecurity.bitdefender.com/blog/facebook-caught-up-in-political-data-scandal-denies-data-breach-19695.html 49

04 해외보안동향 2. 중국 새로운중국산랜섬웨어등장 : alipay 잔액탈취 최근중국에서 기린 2.1 이라는이름의랜섬웨어가 QQ 등메신저를통해유포되었다. 해당랜섬웨어는사용자 PC 를감염시킨후, 화면에 QR 코드를띄우고, alipay 로해당 qr 코드를스캔하여 3 원 (RMB) 을 지불하라고한다. 하지만사용자가 QR 코드를스캔하면로그인페이지가뜨며, 로그인을하면 alipay 에잔액이모두 빠져나간다. 50

04 해외보안동향 현재까지 alipay 는어떠한공식입장도내놓지않고있는상황이다. [ 출처 ] http://www.guancha.cn/society/2018_02_28_448443.shtml 51

04 해외보안동향 중국 icloud 사용자데이터중국으로이전완료, 암호화키도함께이전 2018 년 1 월, 애플은중국사용자들에게 2 월 28 일부터중국내의 icloud 서버운영권한을 gzfata 에이관하고, 사용자들의 icloud 데이터역시중국내의서버로이전한다고밝혔다. 하지만, 그당시애플은어떠한정보들이 이관되는지에대해공개를하지않았다. 그리고 2 월 23 일, 사용자들의 icloud 의암호화키도함께이관된다고밝혔다. 애플보안규약에는, 사용자데이터는클라우드에암호화되어저장된다. 다른시스템과마찬가지로, icloud 서버의데이터를얻으려면, 암호키가있어야한다. 현재 icloud 키는모두미국에있는서버에저장되어있다. 애플은이전에이미여러번사용자들에게중국에서 icloud 및기타클라우드서비스를지속적으로이용하고싶다면, 반드시데이터를중국으로이관해야한다고밝혔다. 애플은사용자에게만약새로운규약에동의하지않는다면, 그들은사용자들의데이터를새로운서버로이관하지 않겠다고밝혔다. 하지만, 애플은이미 99.9% 의 icloud 사용자들이새로운규약에동의하였다고밝혔다. 애플은이전의공지중, 만약자신의데이터가중국으로이관되는것을원치않는사용자가있다면 2 월말까지자신의 icloud 계정을삭제하라고밝힌바있다. [ 출처 ] http://tech.sina.com.cn/it/2018-02-24/doc-ifyrwsqh7800020.shtml 52

04 해외보안동향 3. 일본 전국은행개인신용정보센터 가장한가짜사이트에주의 자택에직접묻겠다 라는 기재도 전국은행협회가운용하는개인신용정보기관으로위장하여은행의계좌정보를묻는피싱공격이발생하고있다. 확인된피싱사이트 ( 화면 : 전국은행협회 ) 전국은행협회가운영하는개인신용정보기관 전국은행개인신용정보센터 를가장한피싱공격이발생하고있는 것이다. 웹사이트에서는금융기관명이나지점번호, 계좌번호, 비밀번호등을송신시키고자하고있었다. 피싱사이트에서는이 협회정규사이트의도메인과유사한도메인 www.zenginkyo.com 을이용하고있다. 2 월 7 일시점에서피싱사이트는가동중이며, 피싱대책협의회에서는폐쇄를위해 JPCERT 코디네이션센터에조사를 53

04 해외보안동향 의뢰했다. 전국은행협회와함께피싱공격에주의하도록호소하고있다. 이번에위장피해를입은전국은행개인신용정보센터는회원금융기관에대해서대출이나신용카드에관한개인의신용정보를제공하는기관이다. 심사업무는제공하지않고있으며, 신용카드번호나은행계좌번호, 비밀번호등을묻는일은없다. 이센터의명칭은피싱공격뿐아니라개인정보를묻는악질적인전화나입금사기등에악용당하는케이스가 지금까지도보도되고있어주의를요구하고있다. 이번에발견된가짜사이트에관해서도 은행협회에서는지국의인간이자택에직접물어서소중한자산을 지키겠습니다 등의기재가있었다. 인터넷상만으로완결하는피싱공격이아니라범인이피해자에게접촉하는 입금사기등의범죄에서이용하기위해설치되었을가능성도있다. [ 출처 ] http://www.security-next.com/089961 54

04 해외보안동향 포르쉐재팬에부정접속, 고객정보 2 만 8 천만건이유출 독일모회사에서의지적으로판명 포르쉐재팬은위탁처가고객의개인정보를관리하는서버가부정접속을받아, 고객정보 2 만 8722 건이외부로 유출되었다는사실이밝혀졌다. 부정접속을공표한포르쉐재팬의웹사이트 포르쉐재팬에따르면, 위탁처서버에서의웹어플리케이션이부정접속을받은것으로일부고객정보가유출되었다고한다. 이회사에서는유출된고객정보의범위등, 상세한내용에대해서조사를진행하고있다. 유출이확인된것은 2000 년부터 2009 년에걸쳐서이회사에카탈로그를요구한고객에관한 2 만3151 건의메일주소이다. 같은데이터베이스에는성명이나주소, 전화번호, 성별, 생년월일, 직업, 연수입, 소유차정보, 희망차종, 구입예정, 판매점명등도포함되어있어이들정보도유출되었을가능성이있다. 게다가 2015 년 7 월에실시한캠페인응모자에관한메일주소 5568 건이유출되었다. 성명등도포함되어있을가능성이있다. 그외 3 건의메일주소도유출이확인되었으나, 그중어떤메일주소에대해서도수상한메일이도착했다등의지적은받고있지않다고한다. 문제가발각되게된발단은독일모회사에서받은지적을통해서였다. 해외의웹사이트에서정보가부정으로취득당했다는것을나타내는내용을확인했다며, 2 월21 일에일본법인인이회사에연락을하여다음날이회사가위탁처서버를조사한결과, 부정접속을받고있었다는사실이판명되었다. 부정접속은현재알고있는것만해도 1 월23 일부터 2 월11 일에걸쳐서복수회에걸쳐이루어졌다고한다. 1 월22 일이전에대해서는서버에로그가보존되어있지않아서상세한상황은알려지지않고있다. 이회사에서는경찰에게상담을추진하는동시에부정접속의흔적에대해서포렌직조사를실시하여피해범위의특정을진행하겠다고한다. [ 출처 ] http://www.security-next.com/090524 55

04 해외보안동향 2 월 21 일경부터 memcached 노리는접속이증가 악용보고도 메모리캐시서버 memcached 를노리는것으로보이는접속증가가관측되고있다. DDoS 공격의발판으로이용된 것으로보이는보고도있다고한다. 주의를당부한 JPCERT 코디네이션센터에따르면, 2 월 21 일경부터 memcached 가이용하는 UDP 11211 번포트에대한접속이증가하고있다고한다. 11211 번포트에대한스캔상황 ( 그래프 :JPCERT/CC) JPCERT 코디네이션센터의관측시스템에서패킷증가를관측했을뿐아니라외부에서도이센터에정보가들어오고 있다. 게다가이서버가 DDoS 공격의발판에악용당한것으로보이는케이스에대해서도보고를받고있다고한다. memcached 를디폴트인채로이용하고있는경우등서버가외부로의도치않게공개되고있을경우가있어, 공격의발판으로이용당하거나정보유출로이어질우려가있다고이센터에서는위험성을지적한다. 이용자에게 접속제어를적절하게실시하도록주의를호소하고있다. [ 출처 ] http://www.security-next.com/090544 56

( 주 ) 이스트시큐리티 ( 우 ) 06711 서울시서초구반포대로 3 이스트빌딩 02.583.4616 www.estsecurity.com 0